Når barn og barnevernsaker eksponeres i
media
Datatilsynet
• Opprettet 1980, lokalisert i Oslo
• 51 medarbeidere
• Særlig uavhengig
forvaltningsorgan under KMD
• To roller – forvaltning og ombud
• Regelverk:
– Personopplysningsloven – Helseregisterloven
– Pasientjournalloven – Helseforskningsloven – Politiregisterloven – Lov om Schengen
informasjonssystem – mv.
• Personvernnemnda er klageorgan for våre vedtak
2
Personvern
Hva er det?
Side 3
Privatlivets fred og individets integritet
Formålsbegrensing Proposjonalitet
Medbestemmelse Retten til å bli
glemt
Samtykke Informert Resosialisering Anonymitet
Personopplysninger
Hva er det?
Side 5
Personopplysninger
• Opplysninger og vurderinger som kan knyttes til en enkeltperson
• Knut B. Kaspersen (180455 xxxxx)
• Direkte eller indirekte identifiserbart
• Indirekte kan være opplysninger som beskriver en person uten bruk av
identifikatorer.
• Mann 61, lite hår, med briller ansatt i Datatilsynet
Side 6
Personopplysninger – hva er det?
7
Peder Aas 2020 Lillevik
F.nr 180262 34997
Personopplysninger
• Fødselsnummer: 13087846271
• Telefonnummer: 22396900
• IP-adresse: 195.159.103.82
• Bilnummer: BL 23456
• Bluetooth MAC: 17:35:52:78:4B:CA
• Wi-Fi-adresse MAC: 12:44:32:45:7B:C9
• Autpass-brikke-ID: 7483920983278394
8
Sensitive personopplysninger
9
Personopplysninger – hvor er de?
10
Hvordan etterleve loven?
11
12
Internkontroll
• Få oversikt over hvilke personopplysninger som behandles og klassifiser dem fra sensitive til ikke- sensitive.
• Lag rutiner og regler for:
– Innsyn – Samtykke
– Retting og sletting – Informasjon
Kartlegge virksomhetens behandlinger
Virksomheten skal ha oversikt over personopplysningene
• Nødvendig for å ivareta sine plikter.
• Grunnlag for sikkerhetsmål og sikkerhetsstrategi.
• Underlag for risikovurderinger.
13 Informasjon
Formål
Behandlings- grunnlag
Melding/
Konsesjon
Klassifikasjon Sikkerhets- tiltak
Lagring og kommuni- kasjon
Opplysningenes omfang
Avdeling Databehandler
Lønn og personal:
lønnsopplysninger personalopplysninger
Personopplysning sloven, §8f
Unntatt i forskriftens § 7-16
Person- opplysninger
Ca. 130 ansatte
Barnevern:
vurdering og tiltak
Barnevernloven,
§3-1
Meldt 14.01.2009
Sensitive person- opplysninger
Ca. 68 barn og foresatte Helseopplysninger:
pasientjournal
Helsepersonel- loven §39
Meldt 14.01.2009
Sensitive person- opplyninger
Ca. 413 pasienter Elevadministrasjon
elever / foresatte lærere
Opplæringsloven
§13-5
Person- opplyninger
Ca. 219 søkere
Hendelsesregister:
logg over brudd
Personopplysning sloven, §13
Unntatt i forskriftens § 7-11
Person- opplyninger
Arkivlogg, nettverkslogg og serverlogg, PC- logger
Dokumentasjon av internkontrollsystemet
• Det er et lovpålagt krav at internkontrollsystemet skal være dokumentert.
• Dokumentasjonen er delt i tre emner:
1. Styrende dokumentasjon som ledelsen er ansvarlig for å utarbeide.
2. Gjennomførende dokumentasjon med rutiner og tiltak for daglig drift.
3. Kontrollerende dokumentasjon med rutiner for oppfølging, korrigering og forbedring av internkontroll og
informasjonssikkerhet.
14
Den registrertes rettigheter
Den behandlingsansvarlige er pålagt å ha rutiner for å oppfylle den registrertes rettigheter.
• Plikt til å informere når det samles inn opplysninger fra den registrerte er beskrevet i personopplysningsloven § 19.
• Plikt til å informere når det samles inn opplysninger fra andre enn den registrerte, er beskrevet i personopplysningsloven § 20.
• Virksomheten skal ha rutine for behandling av forespørsel om innsyn fra mulig registrerte
• Virksomheten skal ha rutine for behandling av forespørsel om retting og sletting for en registrert.
15
Bilder av barn
16
Hva er problemet?
• Forholde seg til et regelverk som kan virke vanskelig
tilgjengelig
• Tillatelse fra foreldrene
Regelverket
• På noen bilder er hovedfokus én eller flere bestemte
personer. Da skal man alltid ha samtykke. Hvis de som er avbildet er under 15 år, må også de foresatte samtykke.
Ha som hovedregel:
Spør alltid om samtykke!
På andre bilder er det selve situasjonen eller aktiviteten som er hovedfokus i bildet. Vanligvis kan slike bilder offentliggjøres uten samtykke fra de avbildede så lenge bildene er harmløse og ikke på noen måte kan føles krenkende for de som er avbildet. Bildene skal heller ikke skal virke krenkende ut fra sammenhengen de benyttes i.
Hva er problemet?
• Forholde seg til et regelverk som kan virke vanskelig
tilgjengelig
• Tillatelse fra foreldrene
• Passordbeskyttelse
• Sletting – videre bruk
• Journalistiske formål
• Gruppebilder / klassebilder
• Politiske sammenhenger
• Misbrukspotensialet
• Etiske vurderinger
• Den totale mengden bilder av barna på nett allerede i ung alder
• Paradoks:
• Barn og unge skal lære fornuftig bruk av Internett; de skal tenke seg om før de publiserer noe om seg selv eller andre
• Allerede fra dagen de er født opplever de at foreldre og andre (ukritisk?) teppelegger nettet med bilder av dem..
• Hvordan lære seg gode nettvaner da?
• Sett av tid på et personalmøte til å gå gjennom Datatilsynets veileder, ”I beste mening…”
• Lag egne interne regler
• Lag et skreddersydd og tydelig samtykkeskjema
• Fremfor alt; vurder hvert enkelt bilde før det legges på nett. Er det virkelig nødvendig å legge det ut? Kan
barnehagen vurdere å benytte andre måter å vise bildene på?
05.12.2016 Side 25
Bilder av barn på nett
• Når vi voksne synes det bare er gøy
1. Feriebilder
2. Portrett vs. Lagbilde 3. Barnet gråter
4. Bløtkakebilde 5. Down syndrom
“He realized his caramel apple has an apple in it.”
Submitted By: XXXXX
Location: Wisconsin, United States
26
Bilder av barn på nett
• Barnet brukes i de voksnes interesse
1. Ved skilsmisse 2. Mot barnevernet 3. Protestarena
• Digital mobbing
• Barnet brukes for å verne om dets interesser
1. Barneombudet – You Tube
27
Barnevernssaker på nett
• Taushetsplikten
• Foreldrene gir opplysninger selv
28
Barnevernssaker på nett
• Hva kan barneverntjenesten gjøre
• Delta i debatten
• Begrensninger
• Barnets situasjon
• Hvilke opplysninger er offentlig kjent
• Korrigeringer
• Nye konkrete opplysninger
• Ingen berettiget interesse
• Saken skal ikke kommenteres
• Hva når foreldrene gir samtykke til barnevernet?
29
Reaksjon
• Foreldre kan straffes – privatlivets fred strl. § 267
• Erstatningspliktig
30
Barnevernssaker på nett - avvik
• Postjournal på nett
• Fulltekstdokumentasjon på nett
31
Trakasering av ansatte (fagpersonale) på nett
32
Norske leger henges ut på
nettside om barnevern
Trakasering av ansatte på nett
• Nettstedene inneholder lister med over 400 navn på psykologer, barnevernsansatte, politikere, advokater, journalister og andre, der disse kritiseres og
karakteriseres. De fleste opplistede er offentlige
tjenesteutøvere. Personopplysningene som finnes på sidene er personnavn, yrke, bosted og tittel. Noen av de opplistede er også avbildet.
Trakasering av ansatte på nett
• Hvor går grensen?
• Når formålet utelukkende er ment for å påvirke opinionen og diskusjonen i det offentlige rom
• Grunnloven § 100 vern av ytringer
• Etiske prinsipper i vern av enkeltindivid
• Grense mot det straffbare
• Sjikane vs. Trusler
• Informasjon om beredskapshjem – PVN-2010-11
34
Sletting i barnevernjournal
• Kvalitetssikring av personopplysninger
• Sletting/retting/supplering/sperres/arkiveres
• Sosialrapport i sin helhet
• Oslo kommune – barnehageplass
• Lillehammer kommune
• Tysnes kommune PVN-2013-02
• Barnevernsenter – PVN -2003-04 (supplering)
• Barneverntjenesten – PVN-2013-06
• Fosterforeldre – PVN-2012-05
35
Kontroll av Fylkesnemnda
• Informasjonssikkerhet
• Arkiv vs lagring på lokal server
• telefaks
36
Tekniske tiltak
37
Tilgangsstyring
= autentisering, autorisasjon, sporbarhet
• Hvem skal ha tilgang til hvilke personopplysninger,
• for hvilke brukere,
• hvilke informasjonselementer,
• i hvilket tidsrom
• evt. andre forutsetninger
Disse fem faktorene må balanseres. Hva kan vi leve med og hvor bør grensene gå?
38
Autentisering
Hva skal til for å bevise at du er den du hevder du er?
Kravet til autentisering avhenger av risiko.
Ved sensitive opplysninger eller andre opplysninger med behov for konfidensialitetsbeskyttelse:
• Brukernavn, passord og kontroll over nettverk eller
• På internett kreves to-faktor-autentisering, typisk brukernavn, passord og en ekstra faktor
• Passordkrav
39
Logging
• Autorisert bruk av informasjonssystemet skal registreres
• Forsøk på uautorisert bruk av informasjonssystemet skal registreres
• Bruk av logg
• Ved henvendelser fra den registrerte
• Ved tips om misbruk
• Stikkprøveanalyse
• Automatiserte analyser
40
Saksbehandlere skal…
• ikke avgjøre hvordan opplysningen skal sikres
• forskånes fra å være i tvil om hvordan han skal håndtere opplysningene
– Vite hvilke rutiner som finnes
– Vite hvem som er ansvarlig for å gi hjelp
– Vite hvem som skal orienteres om problemer
• følge ledelsens rutiner
• rapportere avvik
– Avvik fra rutiner
– Manglende eller ufullstendige rutiner
41
Informasjonssikkerhet – et ledelsesansvar
• Det forventes ikke alltid at øverste leder har inngående kunnskap om informasjonssikkerhet
• Derimot forventes det at personopplysninger er sikret på en forsvarlig måte, og at øverste leder kan garantere at dette blir gjort. I praksis betyr det å sørge for at
virksomheten har oversikt over:
– hvilke plikter som gjelder
– hvordan opplysninger behandles og sikres
– at alle rutiner knyttet til dette er godkjent og blir fulgt opp av alle ansatte
42
Risikovurdering
43
Thinkstock.com
Konsekvens
Risikovurdering – trinn for trinn
Sannsynlighet
• Kartlegg og klassifiser alle behandlinger
• Identifiser uønskede hendelser (og årsaker!)
• Konsekvensvurdering (1-4)
• Sannsynlighetsvurdering (letthet 1-4)
Sammenlign resultater og iverksett tiltak for å komme innenfor akseptabel risiko.
44
AVVIK
45
Behandling av avvik
• Dersom personopplysninger håndteres i strid med fastlagte rutiner, eller det er mistanke om eller
dokumentert brudd på informasjonssikkerhet, skal virksomheten iverksette avviksbehandling
• Formålet med avviksbehandling er å lukke avviket så raskt som mulig, gjenopprette normal tilstand og hindre gjentagelse
• Når man behandler avvik er det viktig å:
• Iverksette strakstiltak, blant annet med det formål å avgrense eventuelle følgeskader
• Iverksette korrigerende tiltak for permanent å gjenopprette normal tilstand
• Vurdere hvorvidt korrigerende tiltak fungerer etter sin hensikt
• Varsle Datatilsynet når dette er pålagt (forskriften § 2-6, 3. ledd)
46
47
Personopplysninger på avveie – eks.
Fulltekstpublisering av dokumenter
• Kommune
• Stat
48
KOMMUNENE
• Tidlig ute med løsning
• Lite føringer fra sentrale ”myndigheter” (KS)
• Prøve og feile-metoden
• Hva gikk galt?
05.12.2016 Side 49
STAT
• HVA SKJER I DAG?
• OEP-LØSNING
• AKTUELLE ALTERNATIVER
• Innsendelse av lenke til OEP med opprettelse av lokal database
• Innsendelse av dokumentet til en sentral database i OEP
05.12.2016 Side 50
PERSONVERNMESSIGE KONSEKVENSER
• VED PUBLISERING
• RISIKOVURDERING
• FØRINGER FOR PUBLISERING
• HINDRE SKYGGEDATABASER”
• HINDRE INDEKSERING FRA EKSTERNE SØKEMOTORER
05.12.2016 Side 51
VED PUBLISERING
• PERSONOPPLYSNINGSLOVEN GJELDER FULLT UT
• §§ 8 og 9
• § 11
• §§ 13 og 14
05.12.2016 Side 52
RISIKOVURDERING
• HVILKE PERSONOPPLYSNINGER SOM PUBLISERES
• Hvilke tiltak er iverksatt for å hindre at det skjer avvik
05.12.2016 Side 53
FØRINGER FOR PUBLISERING
• SKAL PERSONOPPLYSNINGER PUBLISERES
• HVILKE PERSONOPPLYSNINGER SKAL PUBLISERES
• VEILEDNING ELLER
• BESTEMTE OG KLARE FØRINGER
• KONSEKVENSER FOR BORGEREN
• PERSONVERNERKLÆRING
05.12.2016 Side 54
HINDRE INDEKSERING FRA SØKEMOTORER
• Google, Kvasir o.a.
• Hvorfor er dette viktig?
• Hva må til?
• Ålesund-vedtaket
• No robot ikke nok
05.12.2016 Side 55
KASUISTIKK
• ANDEBU KOMMUNE (spesialskole)
• RÅDE KOMMUNE (attføringsmappe)
• NORDFJORDEID KOMMUNE
• ST. OLAV HOSPITAL
• PPT – MINNEPENN
• RANA KOMMUNE
• OPPSIGELSE AV TRENER
• SYKEPLEIER TAUSHETSPLIKT
05.12.2016 Side 56
KASUISTIKK
• Personalsak – ved bytte av system
• Journalmappe på 15 psykisk utviklingshemmede
• Universitetet i Oslo – fødselsnummer - gjentagelse
• Kommune – helseerklæring - handikapplass
• Hacking – politiske parti
• Kommune – skanning av «bunker» med dokumenter (skilleark)
05.12.2016 Side 57
Det nye regelverket
Kjennetegn
• Noen sier at vi går fra hefte til bok
– Her er det nok noen modifikasjoner
• Det sies også at det nye lovverket er som en Sveitserost
– Like mye hull som ost - som kan fylles med nasjonale tilpasninger – Også her er det mange modifikasjoner
• Det gamle direktivet var nok betydelig mer Sveitserost
• Derfor er vår personopplysningslov med forskrift ganske forskjellig fra mange andre land i Europa
– Forordningen gir oss betydelig mer enhetlig lovverk innenfor EU/EØS
59
Bakgrunn
• Arbeidet startet i 2012
• Vedtatt i 2016 og trer i kraft i 2018
• Felles regelverk for personvern i Europa
• Styrke den europeiske borgers rettigheter
• Gjøre det lettere å utveksle personopplysninger over landegrenser
• Styrke tilliten til digitale tjenester
• Sikre samarbeid mellom personvernmyndigheter
60
Hva gjør Datatilsynet?
• Bistår Justis- og beredskapsdepartementet og Kommunal- og moderniseringsdepartementet
• Eget internprosjekt
– IKT
– Juridisk – WEB
– Personvernombud – Kommunikasjon
• Deltar i internasjonalt arbeid og bidrar til utredninger
61
Alle norske virksomheter får nye plikter
62
• Alle må finne ut hva regelverket betyr
• Nye rutiner er et ledelsesansvar
• Alle ansatte skal følge nye rutiner
Alle skal ha en forståelig personvernerklæring
63
• Informasjonen skal være lett tilgjengelig
• Klart språk som er tilpasset leserens nivå
• Stilles krav til hvilke opplysninger som skal gis
Alle skal vurdere risiko og personvernkonsekvenser
• I tillegg til en risikovurdering skal man utrede tiltak med stor personvernrisiko
• Ved høy risiko, som ikke kan begrenses, skal vi involveres i forhåndsdrøftelser
• Forordningen stiller krav til vår behandlingstid
• Vi kan veilede eller forby behandlingen
64
Alle skal bygge personvern inn i nye løsninger
• Nye krav til løsninger, tiltak og systemer
• Skal utarbeides på mest mulig personvernvennlig måte
• Den mest personvernvennlige innstilingen som standard
65
Mange virksomheter må opprette personvernombud
• Personvernombudsordningen går fra frivillig til obligatorisk
• Alle offentlige virksomheter
• Mange private
• Krav til kompetanse
• Krav til å involvere ombudet
66
Alle databehandlere får nye plikter
• Egne rutiner for behandling av personopplysninger
• Si ifra om instrukser er i strid med loven
• Underleverandører skal godkjennes
• Melde avvik til behandlingsansvarlig
• Kan bli erstatningspliktige
67
Alle bør samarbeide i egne nettverk og følge bransjenormer
• Sektorvis utforming av retningslinjer
• Sikrer at de viktigste rutinene er på plass
• Flere fordeler ved å følge disse
• Datatilsynet skal godkjenne bransjenormer
68
Alle får nye krav til avvikshåndtering
• Strengere regler enn i dag
• Melde avvik innen 72 timer
• Stilles krav til innholdet i avviksmeldingen
• De berørte skal varsles i klart språk
69
Hva bør alle virksomheter gjøre nå?
• Sørge for å ha oversikt over hvilke personopplysninger de behandler
• Sørge for å oppfylle dagens lovkrav
• Sette seg inn i det nye regelverket
• Lage rutiner for å følge de nye reglene
70
Datatilsynet.no/forordning
postkasse@datatilsynet.no Telefon: +47 22 39 69 00
datatilsynet.no
personvernbloggen.no
Takk for meg!
hhu@datatilsynet.no